--------無線部署解決方案機場無線覆蓋解決方案第1 頁----------------無線部署解決方案目錄1項目概況...................................................................................................................41.1項目背景..............................................................................................41.2項目目標..............................................................................................42術語解釋...................................................................................................................43總體設計方案...........................................................................................................73.1無線網絡組網規劃..............................................................................73.2網絡高可靠性......................................................................................93.2.1AC冗余備份.......................................................................................93.2.2DHCPServer備份...............................................................................93.3無線安全設計....................................................................................103.3.1WIFI接入及認證過程......................................................................103.3.2無線數據加密.....................................................................................113.3.3AC與AP之間的安全認證...............................................................113.3.4其它無線安全控制技術....................................................................123.4無線網絡管理....................................................................................123.4.1網絡發現............................................................................................133.4.2拓撲管理............................................................................................133.4.3無線網絡規劃....................................................................................133.4.4無線網絡監控....................................................................................133.4.5無線網絡安全....................................................................................133.4.6AC性能管理......................................................................................143.4.7網絡流量分析....................................................................................143.4.8告警管理............................................................................................143.4.9報表呈現............................................................................................143.4.10軟件管理............................................................................................143.4.11配置管理............................................................................................14第2 頁----------------無線部署解決方案3.4.12資產管理 153.4.13任務和調度 153.4.14日志管理3.4.15安全管理

........................................................................................................................................................................................................................................................................................................................................................................................

15153.5 QOS部署 153.5.1 QOS總體框架 153.5.2 QoS高優先級業務數據優先保證 163.5.3 管理報文高優先級處理 173.5.4 通過clientQoS修改用戶的優先級 173.5.5 基于用戶的限速 173.6 POE供電方案 183.6.1 POE供電模塊供電 183.6.2 POE交換機供電 193.7 網絡設備要求 193.7.1 無線AP 193.7.2 AC控制器 203.7.3 AAS服務器 223.7.4 Portal服務器 253.7.5 NetManager網管 26第3 頁----------------無線部署解決方案項目概況1.1項目背景暫無1.2項目目標暫無術語解釋WLAN：無線局域網絡(WirelessLocalAreaNetworks ；WLAN)是相當便利的數據傳輸系統，它利用射頻(RadioFrequency；RF)的技術，取代舊式礙手礙腳的雙絞銅線(Coaxial)所構成的局域網絡，使得無線局域網絡能利用簡單的存取架構讓用戶透過它，達到「信息隨身化、便利走天下」的理想境界。無線AP：AP是(Wireless)AccessPoint的縮寫，即(無線)訪問接入點。如果無線網卡可比作有線網絡中的以太網卡，那么AP就是傳統有線網絡中的HUB，也是目前組建小型無線局域網時最常用的設備。瘦AP:無線接入點(AP，AccessPoint)也稱無線網橋、無線網關，也就是所謂的“瘦”AP。此無線設備的傳輸機制相當于有線網絡中的集線器，在無線局域網中不停地接收和傳送數據;任何一臺裝有無線網卡的PC均可通過AP來分享有線局域網絡甚至廣域網絡的資源。理論上，當網絡中增加一個無線 AP之后，即可成倍地擴展網絡覆蓋直徑;還可使網絡中容納更多的網絡設備。每個無線AP基本上都擁有一個以太網接口，用于實現無線與有線的連接。AC：無線接入控制服務器， 接入控制器(AC)無線局域網接入控制設備，負第4 頁----------------無線部署解決方案責把來自不同AP的數據進行匯聚并接入 Internet，同時完成AP設備的配置管理、無線用戶的認證、管理及寬帶訪問、安全等控制功能。POE：POE(PowerOverEthernet) 指的是在現有的以太網 Cat.5布線基礎架構不作任何改動的情況下，在為一些基于 IP的終端（如IP電話機、無線局域網接入點AP、網絡攝像機等）傳輸數據信號的同時，還能為此類設備提供直流供電的技術。POE技術能在確保現有結構化布線安全的同時保證現有網絡的正常運作，最大限度地降低成本。802.11g：在2.4GHz頻段，是一種能支持較高數據傳輸速率（采用微蜂窩、微微蜂窩結構，自主管理的計算機局域網絡。

1～54Mbit/s），802.11i：無線安全標準，wpa是其子集，規定使用 802.1x認證和密鑰管理方式，在數據加密方面，定義了 TKIP、CCMP和WRAP三種加密機制。802.11n：Wi－Fi聯盟為了實現高帶寬、高質量的WLAN服務，使無線局域網達到以太網的性能水平，802.11任務組制定了N（TGn），將無線局域網的傳輸速率從802.11a和802.11g的54Mbps增加至300Mbps以上，最高速率可達600Mbps，采用OFDM技術、MIMO（多入多出）技術。WEP：WEP是WiredEquivalentPrivacy 的簡稱，有線等效保密（ WEP）協議是對在兩臺設備間無線傳輸的數據進行加密的方式，用以防止非法用戶竊聽或侵入無線網絡。WPA：英文縮寫:WPA(Wi-FiProtectedAccess)WPA 是一種基于標準的可互操作的WLAN安全性增強解決方案，可大大增強現有以及未來無線局域網系統的數據保護和訪問控制水平。 WPA源于正在制定中的 IEEE802.11i標準并將與之保持前向兼容。WPA2：WPA2是經由 Wi-Fi聯盟驗證過的 IEEE802.11i 標準的認證形式。WPA2實現了802.11i的強制性元素[1]，特別是Michael算法由公認徹底安全的CCMP訊息認證碼所取代、而 RC4也被AES取代。WPA/WPA2企業版：Wi-Fi聯盟已經發布了在 WPA及WPA2企業版的認證計劃里增加 EAP（可擴充認證協定）的消息，這是為了確保通過 WPA企業版認證的產品之間可以互通。 先前只有 EAP-TLS（TransportLayerSecurity ）通過Wi-Fi聯盟的認證。SSID：SSID是ServiceSetIdentifier 的縮寫，意思是：服務集標識。 SSID技術第5 頁----------------無線部署解決方案可以將一個無線局域網分為幾個需要不同身份驗證的子網絡，每一個子網絡都需要獨立的身份驗證，只有通過身份驗證的用戶才可以進入相應的子網絡，防止未被授權的用戶進入本網絡.。無線漫游：當網絡環境存在多個 AP，且它們的微單元互相有一定范圍的重合時，無線用戶可以在整個 WLAN覆蓋區內移動，無線網卡能夠自動發現附近信號強度最大的AP，并通過這個 AP收發數據，保持不間斷的網絡連接，這就稱為無線漫游。數字證書：數字證書就是互聯網通訊中標志通訊各方身份信息的一系列數據，提供了一種在Internet上驗證您身份的方式，它是由一個由權威機構 -----CA機構，又稱為證書授權（CertificateAuthority）中心發行的，人們可以在網上用它來識別對方的身份。數字證書是一個經證書授權中心數字簽名的包含公開密鑰擁有者信息以及公開密鑰的文件。最簡單的證書包含一個公開密鑰、名稱以及證書授權中心的數字簽名。數字證書是一種權威性的電子文檔，由權威公正的第三方機構，即CA中心簽發的證書。第6 頁----------------無線部署解決方案總體設計方案3.1 無線網絡組網規劃組網說明在機場核心交換機分別旁掛 1臺或多臺AC無線控制器，通過 1+1方式實現冗余備份，在機場無線熱點區域部署多個瘦 AP。根據現有機場有線的網絡的部署情況，無線 AP與AC控制器間通過二層或三層實現互聯互通， AC工作在集中轉發模式，所有無線終端的業務數據通過 AC進行集中轉發。機場無線AP手動配置自身IP地址，與AC的IP地址實現隧道互聯，無線終端的IP地址通過DHCP動態獲取，網關指向機場的核心交換機，建議部署兩臺DHCP服務器，在核心交換機上配置DHCP中繼，分別指向兩臺DHCP服務器，實現對DHCP服務器的冗余備份。機場無線AP采取WPA2的無線加密認證方式。無線終端上行的802.11的數據第7 頁----------------無線部署解決方案報文通過AP重新封裝到802.3格式以太報文中，直接發給 AC，由AC進行過濾識別后進行轉發，這個過程實現了 WLAN無線的數據和現有業務的數據隔離。注意事項：因無線的數據均采用集中轉發方式，所以在無線終端間進行數據訪問時，也需要數據通過 AC 集中轉發而訪問，增加了不必要的網絡開銷，我們建議禁止無線終端間的數據訪問業務。設備配置說明設備名稱部署設備型號數量設備說明無線控制器WNC6000-1000-ACX臺AC控制器，支持1024個AP接入室內APWA2000-213W-PEX臺單頻、單模，室內2.4G增強型室內AP。802.11（b、g、n），外置天線，100mw放裝型，POE受電方式。支持wapi。室外APWA2000-362W-PTEX臺WA2000-362W-PTE,無線,雙頻、雙模，2.4G、5.8G增強型室外AP。802.11（a、b、g、n），外置天線，500mw+500mw放裝型，PTE受電方式。支持wapiAAS服務器AccessAuthentication1邁普設備接入認證服務器(基本型、含硬件)，2個以太口serverAAS-L-2000X2000個License認證用戶數，單一系統支持多個License累加Portal軟件PortalAuthentication1Portal認證服務器中文版Server短信網關MaipuSMS-CN1MaipuSMS-CN、電信制式短信網關無線網管軟件 1 多業務智能管理平臺(專業版，中英文MaipuNetManager版，無最多可管理網絡設備數量限制 )NM-WlanManager 1 無線業務管理組件軟件許可，每個許可可增加500個設NM-L-500備節點授權許可第8 頁----------------無線部署解決方案3.2網絡高可靠性3.2.1AC 冗余備份AC無線控制器采用，1+1冗余備份方式，在核心交換機分別旁掛 1臺或多臺AC無線控制器，通過 1+1方式實現冗余備份，保證了整個無線網絡的高可靠性。根據無線AP的規模來確定AC的容量。在備機房放置同等數量和容量的實現完備的1+1冗余備份。

AC，1+1冗余備份方式，需要從兩個層面來保證設備和網絡的冗余可靠性。首先，AC和備份AC之間的管理通道保持有快速心跳檢測機制，心跳時間根據網絡的質量可以配置，建議為 200ms到5s之間。心跳報文在兩端 AC和整個通道的網絡設備之間采用高優先級保證。同時，主 AC和備份AC之間能定期和實時的同步AP，client的各種狀態。這樣，備份 AC能實時監控主AC的活動狀況。一旦主 AC出現宕機等事件，備份AC收不到主AC的心跳報文，立即通知該主AC管理的原AP，實行切換。其次，AC和所管理的 AP之間的管理通道保持有心跳檢測機制。這種機制中除了檢測 AC的狀態之外，還可以檢測整個網絡通道是否可達。心跳時間根據網絡的質量可以配置，建議為 5s到20s之間。1+1的備份方式在部署時，AP需要配置主用AC和備用AC的地址列表，我們采用靜態指定的方式，在 AP上寫入主備AC的IP地址，當主AC出現宕機或者主機房網絡出現故障，訪問不可達的情況下，AP主動發現并切換到備AC上。3.2.2DHCPServer 備份DHCPSERVER備份實現機制 ：在機場主機房搭建主 DHCP SERVER和備用DHCPSERVER；通過核心交換機做 DHCPRELAY，分別指向主、備 DHCPSERVER，在正常情況下，用戶端從主 DHCP服務器獲取地址，當主 DHCPSERVER宕機的情況下，用戶從備 DHCPSERVER獲取地址 。該功能的實現需要在核心交第9 頁----------------無線部署解決方案換機上配置兩條 DHCPRELAY命令。3.3無線安全設計由于無線接入的開放性，因此無線接入安全是部署無線網絡的重中之重。當前兼容性最好、可實現性最高的無線安全接入方式就是結合數字證書的 WPA2身份認證及數據加密技術。3.3.1WIFI接入及認證過程為滿足用戶可以更方便快捷的使用 WIFI熱點，并且又能夠對接入用戶合法性進行確認，本方案設計采用 AAS+Portal+短信方式認證。Web認證機場WIFI用戶使用手機或者pad自動搜索到機場WIFI熱點，在連接的時候會自動重定向到本地Portal頁面上，給用戶推送一個Web認證界面。當用戶再次通過HTTP協議上互聯網時，會觸發 Portal認證，后端的Portal認證服務器會推送一個Web認證頁面到用戶終端上。用戶在WEB認證界面填寫自己的手機號，點擊獲取隨機密碼，則用戶填寫的手機號對應的手機會收到一條短信，獲取到一個隨機密碼，用戶通過該手機號碼及短信收到的隨機密碼進行 Web認證。認證通過后系統允許用戶終端上網，并且返回一個認證通過的頁面，再次根據用戶所在的公交車位置信息判斷推送不同的廣告信息；AAS服務器AAS是基于AAA的認證系統，在本方案中主要功能為配合 Portal服務器為用戶提供身份認證。AAS也可以通過代理方式與運營商或者上級 AAA 系統進行對接，能夠直接與營運商的用戶庫（如手機號等信息）共享，避免用戶信息多點維護。AAS認證的用戶名基于運營商用戶庫，所以有效的避免了其他運營商的用戶接入占用資源的問題。該系統允許所有運營商的用戶能使用。第10頁----------------無線部署解決方案3.3.2無線數據加密WPA2使用加密性能更好、安全性更高的加密算法： AES-CCMP（AdvancedEncryption Standard - Counter mode with Cipher-block chaining MessageauthenticationcodeProtocol ，高級加密標準－計數器模式密碼區塊鏈接消息身份驗證代碼協議），其主要有如下幾點改進：使用 128位AES加密算法實現機密性保護，數據完整性保護，自動重新生成密鑰對以派生新的數據加密密鑰，使用數據包編號字段實現防重播。AES-CCMP在802.1X身份驗證過程動態創建一組主從密鑰，并由該從主密鑰對和其他值派生出數據加密所需的臨時密鑰， 避免了WPA-PSK主密鑰需事先定義而可能泄露的弊端。3.3.3AC與AP之間的安全認證為了保證AC與AP之間的訪問安全，尤其是防止黑客或者攻擊者從市場上購買同一品牌的AP，私自接入機場網絡，進行各種高級攻擊。因此需要加強 AC和AP之間的安全認證。最簡單的認證是MAC地址認證，部署過程中可以將系統中的合法 AP的MAC地址統一記錄在Radius或者AC上。AP在跟AC關聯進行集中管理時，都需要在 AC上通過mac地址認證才能允許 AP接入無線網絡；其次是密碼認證，第一次部署過程中需要在 AP上設置相關密碼；AP在跟AC關聯進行集中管理時，都需要在 AC上通過密碼認證才能允許 AP接入無線網絡；注：前面兩種方式都是單向認證，在 AC上認證接入AP；還有一種更安全的方式是數字證書認證，我們采用的 X.509數字證書認證方法。該認證方法是雙向認證，除了AC上認證AP的證書，同時在 AP上還需要驗證AC的證書，充分保證網絡設備的合法性。在首次部署的時候，需要將相關證書下發到設備上。 AP運行過程中，跟AC關聯進行集中管理時，就會啟動該雙向認證，成功后才能允許AP接入無線網絡。第11頁----------------無線部署解決方案3.3.4其它無線安全控制技術其它無線安全技術主要體現如下幾方面：SSID隱藏：隱藏無線對外服務標識，類似在開放的環境中隱藏接入端口，保護無線接入。無線用戶接入時段控制：根據業務需要，限制終端用戶通過無線接入的時間區間，可以實現在非工作時間外禁止接入網絡。無線用戶訪問權限控制：可以在無線接入控制器上實現 ACL控制，放行移動終端業務的目標地址，阻斷其它應用，通過 ACL控制訪問權限。無線用戶速率控制：通過限制每個無線終端的速率， 防止各種惡意或無意的高速率訪問，確保其它用戶通過無線接入的接入速率、接入穩定性。無線用戶相互隔離：對通過無線接入的終端實現隔離，阻斷相互之間的通信，不僅實現安全管理，也可避免終端之間的相互影響。3.4無線網絡管理整個無線網絡統一進行無線網絡設備管理，無線網絡的可管理性在整體項目中將起到非常重要的作用。根據機場的應用需求，我們提出實現無線網絡的 “云管理”方案。簡單來說，無線網絡管理分成以下三層管理架構：網管軟件對AC的管理：主要聚焦在網管軟件對各個 AC的狀態監控，并對AC進行權限管理及監控。網管軟件對AP的管理：主要聚焦在網管軟件對分布在全國任意網點的 AP的追溯管理，包括每臺 AP下的終端接入數，終端流量，終端應用。網管軟件對無線終端的管理：主要聚焦在網管軟件對接入到全國任意網點的所有無線終端的管理，包括終端流量等等。通過以上三方面不同層次的網絡管理，使得無線網絡的管理更可控。第12頁----------------無線部署解決方案3.4.1網絡發現基于IP范圍發現AC，手動添加設備基于AC發現無線網絡，自動添加設備3.4.2拓撲管理支持網絡拓撲圖的自動生成及拖拉縮放，支持網絡拓撲分層分級導航和管理及自動更新支持網絡拓撲圖的手動定制及定制連接支持物理連接和邏輯連接，并在拓撲上顯示連接屬性，如端口、貸款及連接狀態3.4.3無線網絡規劃支持無線分級地圖3.4.4無線網絡監控支持在各AC管轄下的無線AP列表支持列出客戶端列表:包括活動客戶端列表、客戶端列表歷史、信噪比等3.4.5無線網絡安全支持統一安全策略：統一安全策略的創建及安全策略的下發和部署支持無線安全防護：包括 RogueAP列表，RogueClient列表，Rogue設備反制及無線入侵事件列表等第13頁----------------無線部署解決方案3.4.6AC性能管理支持AC性能監控，及性能數據的管理3.4.7網絡流量分析支持網絡流量數據采集標準 (CiscoNetFlow,sFlow 等)支持帶寬使用統計網絡性能瓶頸發現輸出網絡流量報告，支持基于圖形化和數據表格方式的網絡流量詳細報告3.4.8告警管理支持告警定義，告警呈現，告警管理及相應的告警操作。3.4.9報表呈現支持表格和圖形混合展現的報表呈現方式可手動、自動生成報表，并自動發送報表3.4.10 軟件管理支持軟件包管理及 AC、AP軟件自動升級3.4.11 配置管理支持批量配置管理，配置文件管理第14頁----------------無線部署解決方案3.4.12 資產管理支持設備資產管理，設備資產信息收集和展示，并定期自動同步3.4.13 任務和調度支持任務的查詢/修改/制定，從而實現按時批量任務實現支持一次性任務調度、周期性任務調度，并輸出任務執行日志，并回報任務執行結果通知3.4.14 日志管理可記錄日志，包括網管日志，網元操作日志，安全日志及網元日志等可操作日志，包括設置、轉儲、查詢和打印等并可對日志進行定期清理3.4.15 安全管理可對用戶組進行安全管理，包括用戶管理、管理域等可實現第三方認證和授權，支持 RADIUS，TACCS,LDAP3.5QOS部署3.5.1QOS總體框架通過WMM協議，使802.11在鏈路層和MAC層提供支持QoS的無線網絡接入服務，加上有線網絡原有的應用層、 IP層的QoS策略，提供了無線設備端到第15頁----------------無線部署解決方案端的QoS支持能力，以無線終端 Client1發送報文到Client2為例說明Qos總體框架。802.11報文WMM協議控制Client1無線Qos調度AP802.3報文ACClientQos模塊有線Qos調度有線Qos模塊無線報文轉換為有線報文CapwapTunnelRateLimitRateLimitWMMQos模塊802.11—>802.3InnerPriority—>WMMQos模塊ACLACLWMMUP—>802.1pOuterPriorityDiffservDiffServ802.3報文802.11報文有線Qos調度WMM協議控制Client2無線Qos調度AP802.3報文ACClientQos模塊有線Qos調度有線Qos模塊有線報文轉換為無線報文RemoveCapwapRateLimitRateLimitWMMQos模塊WMMQos模塊802.11—<802.3TunnelACLACLWMMUP<—802.1pDiffServDiffserv總體框架中提供兩大部分 QoS部署：一是從client到AP之間的無線QoS部署，該部分主要是對于空中的無線報文（802.11報文）進行各種 QoS管理和配置。對于語音和視頻等高優先級流量進行調度；二是從AP到AC之間的有線QoS部署，該部分主要是對于以太網報文（ 802.3報文）進行各種QoS管理和配置。因為無線報文達到 AP后，就接入了有線網絡，報文也就是從 802.11格式轉為802.3格式，進行有線網絡轉發。3.5.2QoS高優先級業務數據優先保證WMM QoS到802.3的CoS之間的映射：AP收到802.11報文后，AP將其中WMMQoS字段轉換為802.3的CoS字段的值，保證無線用戶的優先級信息能夠保持不變，高優先級數據優先處理。內部優先級到外部優先級的映射（未來實現）：數據被封裝到隧道后，內部的優先級不能被其它網絡設備識別，因此必須將內部的優先級映射到外部網絡。AP在封裝隧道數據時，會把內部優先級映射到隧道數據的外部，保證其它網絡設備也能按照用戶數據的優先級進行轉發。AC對于QoS優先級的處理：AC收到隧道數據后，首先解封裝，根據內部CoS的優先級進行數據調度，保證高優先級的數據得到優先轉發。802.3的CoS到WMMQoS之間的映射：AP收到來至有線網絡的 802.3報文后，AP將其中802.3的CoS字段轉換為WMM QoS字段的值，對于高優先級的數據優先發送。第16頁----------------無線部署解決方案3.5.3管理報文高優先級處理對AP和AC之間的管理報文,即端口號為 57776的TCP報文和端口號為57778/57779的UDP報文，設置高優先級，可以保證管理報文的高優先轉發。3.5.4通過clientQoS 修改用戶的優先級AP上的clientCoS功能可以根據優先級策略直接修改用戶的優先級。 AP收到802.11數據后，匹配用戶的 IP地址，根據用戶的 IP匹配對應的策略，根據策略設定的優先級改寫原有的優先級，保證特定用戶的數據得到特定的優先級。配置方式如下：配置分類表（classmap）：建立一個分類規則，可以按照 ACL、CoS、VLANID、IPV4Precedent、DSCP、IPV6FL來分類。之后，對于不同類別的數據流采取不同的策略。配置策略表（policymap）：對數據流進行分類之后，就可以建立一個策略表，之后就可以將其對應一個先前建立的class-map，進入策略分類表模式，然后就可以對于不同的數據流采取不同的策略，如帶寬限制、優先級降低、分配新的DSCP值等等。也可以定義一個集合策略，這個策略可以在同一個策略表內部被多個策略分類表使用。將QoS應用到AP或者AC：如果需要在AP上啟動QoS，則在APprofile文件中增加配置的策略應用。如果需要在AC上啟動QoS，將策略綁定到 AC的端口。3.5.5基于用戶的限速基于用戶的限速，配置命令通過 AC下發到AP上，用AP來實現每一個終端速度的限制。實現原理是對用戶的數據流量進行精確的統計，按照令牌桶的原理，單位時間內，每個用戶都會分配到指定大小的令牌，用于流量允許通過。如果超過了用戶限制的帶寬，令牌就會用完，該用戶的數據報文將會丟棄。每個用第17頁----------------無線部署解決方案戶都會有令牌桶，因此可以精確到每個用戶的限速。限速粒度為 64Kbps。對于每個用戶的上行和下行報文，設計有單獨的令牌桶，可以分別控制和進行速率限制。限速的配置可以從兩個方面進行，如果對于所有用戶限速都相同的話，可以從AC上通過配置AP的clientqos模塊中ratelimit參數，統一下發給 AP。如果對每個用戶的限速不同的話，因為用戶數比較多，在 AC上進行統一配置明顯不行，需要在Radius上對每個用戶的速率進行單獨設置。在用戶進行統一認證的時候，將會把限速參數動態的下發給該用戶所在的 AP。3.6POE供電方案3.6.1POE供電模塊供電若熱點區域的無線 AP部署數量較少，建議采用獨立的 POE供電模塊進行供電，無需單獨部署 POE交換機。第18頁----------------無線部署解決方案3.6.2POE交換機供電若無線熱點區域的無線 AP部署數量較多，為實現設備的集中供電管理， 建議采用POE供電交換機進行供電。3.7網絡設備要求3.7.1無線AP產品型號無線特性接口類型物理特性WA2000-213100mW802.11b/g/n1個10/100/250mm*222mm*58mmW-PE1000Mbps電WA2000-323500mW802.11b/g/n口、1個控制口209mm*125mm*25mmW-PE500mW802.11a/n支持標準 TCP/IP,IPX,NetBEUI、IEEE802.11b(WiFiCompatible),IEEE802.11g(WiFiCompatible),IEEE802.3/u10/100Base-TxRJ-45,IEEE802.3af(PowerOverEthernet),IEEE802.1p(QoSPriority),IEEE802.1q(VLAN),IEEE802.1x(SecurityAuthentication),IEEE802.11e(WirelessQoS),IEEE802.1d(SpanningTreeProtocol) 、11N HT保護模式、A-MPDU 聚合、A-MSDU 聚合、短GI、擴展信道保護模式、信道模式 20M/40M工作模式 AP,Bridge----------------第19頁--------無線特性QOS管理特性診斷功能鏈路完整性路由安全特性電源環境特性工作溫度工作濕度儲存溫度存儲濕度

--------無線部署解決方案頻率自動調節、自動功率調整、 SmartWDS、輸出功率調節負載均衡（流量、用戶數）、帶寬控制、鏈路檢、WMM、VoIP接入數量控制Web、SSH、CLI、SNMP、管理代理、capwap、TR069用戶列表、臨近AP掃描、IPping測試、統計支持支持Radio開關、WEP加密（64/128）、TKIP、WAPI、802.1x、MAC控制、station隔離、防XDos攻擊、WPA(2)-PSK、WPA(2)、小包過濾、廣播風暴控制POE、220V0~+50℃5to95%RH-10~+60℃5to95%RH3.7.2AC控制器型號WNC6000-1000-AC硬件接口12個10/100/1000M電口、8個千兆SFP接口（需配SFP千兆光模塊），2個萬兆SFP+(需配SFP+萬兆光模塊)。管理AP數1024轉發能力80G軟件特性TCP/IP、IPX、NetBEUI、IEEE802.3/u10/100Base-TxRJ-45,IEEE802.3z1000BaseX、802.1d、802.1p、802.1q、802.1x、802.11、802.11b、支持協議802.11a、802.11g、802.11h、802.11i、802.11e、802.11n、CAPWAP、DHCPServer、DHCPClient、DHCPRelay、DNSCient、NTP（Server第20頁----------------無線部署解決方案andClient）、VRRP等IP路由RIPv1/v2、OSPF、BGP、StaticRouting、RIPng、OSPFv3等組播IGMPv1/v2/v3、PIM-SM、PIM-DM、PIM-SSMIPv6TCPv6、UDPv6、ICMPv6、Pingv6、TraceRTv6、Telnetv6、DNSv6、IPv6ND、IPv6PMTU、IPv6ACL、IPv6靜態路由MPLS支持LDP、支持mpls轉發、MPLSping、MPLStracerouteAP發現靜態IP發現、DHCP發現、DNS發現等AC的方式漫游支持AC內漫游、支持跨AC間漫游、支持二/三層漫游Radio開關、無線模式選擇(802.11a/b/g/n)、手動或自動信道選擇、手射頻管理動或自動功率調整、自動速率選擇、支持WMM、強制STA漫游、支持MultiBSSIDWEP(WEP64/WEP128/WEP152)、WPA-PSK、WPA2-PSK、WPA、安全特性WPA2、WAPI、802.1X認證、Web認證（支持內置Portal）、PPPoE認證、防DoS攻擊、ACL控制（支持基于MAC地址和IP地址的接入控制）、STATION二層隔離備份功能1+1、N+1、N+N設備管理Web、SNMP（v1/v2c/v3）、Telnet、SSH、SHELL物理指標電源AC220V；RPS-48V尺寸440mm*254mm*66.6mm環境參數工作濕度（非凝露）儲存溫度儲存濕度（非凝露）

5%～90%-40℃～60℃5%～90%第21頁----------------無線部署解決方案3.7.3AAS服務器硬件規格處理器 Intel/AMD 雙核3G內存 4G硬盤 500G固定接口 2個1000M接口長×寬×高尺寸 660x430x88(mm)輸入電壓 600w電源 雙電源互備軟件規格功能點 子功能 功能描述PAP認證Non-EAP認證CHAP認證EAP-MD5 認證EAP認證 EAP-PEAP+MSCHAPV2 認證EAP-TLS認證PAP認證PEAP+MSCHAPv2 認證AD代理認證PEAP+GTC接入認證 TTLS+PAPPAP認證LDAP代理認證 PEAP+GTCTTLS+PAPPEAP+GTC->PAPRadius代理認證TTLS+PAP->PAPPAP認證Radius中繼認證 CHAP認證EAP-MD5 認證第22頁----------------無線部署解決方案EAP-PEAP+MSCHAPV2 認證EAP-TLS 認證支持基于不同 SSID的MAC地址黑白名單MAC接入認證功能用戶與wlanssid綁定用戶與接入設備（ AP、交換機）MAC地址綁定擴展認證 認證綁定用戶名與證書名綁定用戶與終端 MAC綁定用戶自動綁定前 2次登錄的MAC地址錯誤登錄次數控制認證控制重復登錄次數控制支持IP地址下發授權支持一個用戶綁定多個 IP地址終端授權支持ACL指令、VLAN配置下發支持QoS和優先級授權支持enable15級授權，支持$enable$賬號進行認證和授權，針對不同的用戶可以綁定$enable$進行認證（不同用戶該密碼不同） ；設備操作授權授權支持0-15級授權接入授權 支持command 授權，能夠支持對管理設備的command命名進行授權支持根據分組設置授權策略， 能夠支持分組方式制定AAA授權策略。如 802.1x接入時間控制(時間規則保持當前 AAS以實現的授權策略 規則方式，基于有效期和周期日方式的策略，并且這兩種策略可以疊加使用 )、ip段的分配、對交換機的 ACL和vlan配置下發。以上策略可以在單獨的用戶上配置第23頁----------------無線部署解決方案支持代理認證用戶授權，設置代理認證用戶的授權規則，讓不同的代理認證用戶在認證后擁有對應的權限，例如：ACL、VLAN等，需要考慮授權策略優先支持基于時間授權，支持基于有效期和周期日方式的策略，并且這兩種策略可以疊加使用用戶組的IP地址段范圍設置、時間段有效用戶組管理規則配置用戶數據過濾、用戶賬號、PAP密碼、CHAP用戶配置密碼、分配IP地址、終端屬性綁定、用戶時間段有效規則等參數管理用戶安全帳號用戶密碼策略控制用戶監控在線用戶的監控與管理用戶管理統計有效用戶、無效用戶信息，支持Excel報表導出支持根據時間查詢出即將過期的用戶，并可用戶統計管理以多選后批量重新設置有效期和密碼支持根據時間段統計用戶“活躍度”（登錄次數），并根據“活躍度“進行排序AD用戶同步從AD服務器同步用戶帳號用戶密碼修改提供web頁面，供用戶自助修改密碼生成證書生成服務器認證證書證書管理安裝證書安裝服務器證書用戶登錄日志管理用戶登錄訪問日志管理日志管理管理員操作日志管理管理員操作日志管理主備服務器日志同步主備服務器日志同步數據備份數據管理數據導出導出備份數據第24頁----------------無線部署解決方案數據導入 導入數據文件數據同步 主備服務器數據同步批量用戶導入 導入批量用戶數據支持雙機備份，保證系統可靠性支持定時從主機同步用戶信息到備機， 定時雙機備份 支持雙機備份時間可配置;支持備機log可以實時同步到主機3.7.4Portal服務器功能點子功能功能描述Portal可接受用戶認證請求，通過Portal協議用戶身份認證與設備交互，完成認證過程，并通知用戶認證結果用戶主動下線用戶點擊web按鈕，可實現主動下線，退出網絡訪問支持穿越NAT接支持接入設備（例如：AC）在NAT后面的場入認證景，實現NAT穿越支持動態驗證碼登錄時支持動態隨機驗證碼，防止惡意密碼猜Portal接入驗證測用戶在Portal登錄頁面輸入自己的身份標識信息（身份證號或者銀行卡號）、手機號后，支持通過短信獲Portal網關將身份信息送到后臺服務器進行保取動態密碼存，然后通過短信方式下發密碼給來賓用戶手機，來賓用戶將該密碼填寫在Portal界面后就可以訪問無線網絡資源。支持用戶在第一次登錄輸入用戶名、密碼登錄終端無感知認證成功后，在后續登錄過程中，可直接進行登錄第25頁----------------無線部署解決方案網絡，無需輸入用戶名和密碼支持Portal認證成功后，由Portal服務器推送推送頁面定制定制頁面給終端，定制內容包括快速鏈接、廣頁面定制告背景頁面等用戶可在Portal服務器定制登錄頁面Title、Portal服務器客戶圖片，登陸后頁面左邊欄鏈接和主界面背景圖定制片；查看所有在線用支持查看當前所有在線用戶信息，包括用戶戶信息名、登錄時間、使用時長；查看當前用戶信支持用戶查看自己當前登錄時長、登錄時間信用戶管理息息可強制下線指定管理員可強制